imm の設定 - cisco3-5 統合管理モジュールユーザガイド第 3 章 imm の設定...

C H A P T E R 3
IMM の設定
IMM を設定するには、ナビゲーションペインの [IMM Control] にあるリンクを使用します。

• [System Settings] ページからは、次の操作ができます。

– サーバ情報を設定する。

– サーバタイムアウトを設定する。

– IMM の日付と時刻を設定する。

– USB インターフェイスに対してコマンドをイネーブルまたはディセーブルにする。

• [Login Profiles] ページからは、次の操作ができます。

– ログインプロファイルを設定して IMM へのアクセスを制御する。

– ログイン試行に失敗した後のロックアウト期間など、グローバルログインの設定を行う。

– アカウントセキュリティレベルを設定する。

• [Alerts] ページからは、次の操作ができます。

– リモートアラートの受信者を設定する。

– リモートアラートの試行回数を設定する。

– アラート間の遅延を選択する。

– 送信するアラートとその転送方法を選択する。

• [Port Assignments] ページからは、IMM サービスのポート番号を変更できます。

• [Network Interfaces] ページからは、IMM のイーサネット接続を設定できます。

• [Network Protocols] ページからは、次の設定を行えます。

– SNMP の設定

– DNS の設定

– Telnet プロトコル

– SMTP の設定

– LDAP の設定

– サービスロケーションプロトコル

• [Security] ページからは、Secure Sockets Layer（SSL）設定をインストールし、設定できます。

• [Configuration File] ページからは、IMM の設定のバックアップ、変更、および復元が可能です。

• [Restore Defaults] ページからは、IMM の設定を工場出荷時のデフォルトにリセットできます。

• [Restart IMM] ページからは、IMM を再起動できます。

3-1統合管理モジュールユーザガイド

第 3 章 IMM の設定

システム情報の設定

システム情報の設定IMM システム情報を設定する手順は、次のとおりです。

ステップ 1 システム情報を設定する IMM にログインします。詳細については、第 2 章「IMM Web インターフェ

イスの開始および使用」を参照してください。

ステップ 2 ナビゲーションペインで [System Settings] をクリックします。次の図に示すようなページが表示され

ます。

（注） [System Settings] ページで使用できるフィールドは、アクセスするリモートサーバによって決まりま

す。

ステップ 3 [IMM Information] 領域の [Name] フィールドで、IMM の名前を入力します。

[Name] フィールドを使用して、このサーバに IMM の名前を指定します。この名前が、アラートの送

信元を識別するために電子メールおよび SNMP アラート通知に含まれます。




（注） [Name] フィールドが 16 文字に制限されているため、IMM 名（[Name] フィールド）と IMM の IP ホスト名（[Network Interfaces] ページの [Hostname] フィールド）は自動的には同じ名前

を共有しません。[Hostname] フィールドには、大で 63 文字まで含めることができます。わ

かりやすいように、[Name] フィールドには IP ホスト名の非修飾部分を設定します。非修飾 IP ホスト名は、完全修飾 IP ホスト名の初のピリオドまでで構成されます。たとえば、完全修飾 IP ホスト名が imm1.us.company.com の場合、非修飾 IP ホスト名は imm1 となります。ホスト

名の詳細については、「ネットワークインターフェイスの設定」（P.3-20）を参照してくださ

い。

ステップ 4 [Contact] フィールドには、連絡先情報を入力します。たとえば、このサーバに関して問題が生じた場

合に連絡先となる人物の名前と電話番号を指定できます。このフィールドには、大 47 文字を入力で

きます。

ステップ 5 [Location] フィールドには、サーバの場所を入力します。このフィールドには、メンテナンスやその他

の目的でサーバをすばやく見つけるのに十分な詳細を入力します。このフィールドには、大 47 文字

を入力できます。

ステップ 6 ページの一番下までスクロールし、[Save] をクリックします。

サーバタイムアウトの設定

（注）サーバタイムアウトを設定するには、インバンド USB インターフェイス（または LAN over USB）を

イネーブルにしてコマンドを使用可能にする必要があります。USB インターフェイスに対するコマン

ドのイネーブル化とディセーブル化の詳細については、「USB インバンドインターフェイスのディ

セーブル化」（P.3-6）を参照してください。

（注） LAN over USB および OS ウォッチドッグ機能は、Cisco Flex 7500 シリーズワイヤレスコントローラ

ではサポートされていません。

サーバタイムアウト値を設定する手順は、次のとおりです。

ステップ 1 サーバタイムアウトを設定する IMM にログインします。詳細については、第 2 章「IMM Web イン

ターフェイスの開始および使用」を参照してください。

ステップ 2 ナビゲーションペインで、[System Settings] をクリックし、[Server Timeouts] 領域までスクロールし

ます。

次のイベントに自動的に応答するように、IMM を設定できます。

• オペレーティングシステムの停止

• オペレーティングシステムのロード失敗

ステップ 3 IMM に自動的に応答させるイベントに対応するサーバタイムアウトをイネーブルにします。




[OS watchdog]：[OS watchdog] フィールドを使用して、IMM がオペレーティングシステムをチェッ

クする間隔を分数で指定します。オペレーティングシステムがこれらのチェックのいずれかに応答し

なかった場合、IMM は OS タイムアウトアラートを生成し、サーバを再起動します。サーバの再起動

後は、オペレーティングシステムがシャットダウンされ、サーバの電源が再投入されるまで、OS ウォッチドッグはディセーブルになります。

OS ウォッチドッグ値を設定するには、メニューから時間間隔を選択します。このウォッチドッグをオ

フにするには、メニューから [0.0] を選択します。オペレーティングシステム障害の画面を取得するに

は、[OS watchdog] フィールドでウォッチドッグをイネーブルにする必要があります。

[Loader watchdog]：[Loader watchdog] フィールドを使用して、POST の実行からオペレーティングシステムの起動まで IMM が待機する分数を指定します。この間隔を超えると、IMM はローダータイ

ムアウトアラートを生成し、自動的にサーバを再起動します。サーバの再起動後は、オペレーティン

グシステムがシャットダウンされ、サーバの電源が再投入されるまで（または、オペレーティングシステムが起動し、ソフトウェアが正常にロードされるまで）ローダータイムアウトは自動的にディ

セーブルになります。

ローダータイムアウト値を設定するには、オペレーティングシステムの起動が完了するまで IMM が待

機する時間の制限を選択します。このウォッチドッグをオフにするには、メニューから [0.0] を選択し

ます。


IMM の日付と時刻の設定

IMM では独自のリアルタイムクロックを使用して、イベントログに記録されるすべてのイベントのタ

イムスタンプを付けます。

（注） IMM の日付と時刻の設定は、サーバクロックではなく、IMM クロックだけに影響します。IMM リア

ルタイムクロックとサーバクロックは独立した別個のクロックであり、異なる時刻を設定できます。

IMM クロックとサーバクロックを同期化するには、ページの [Network Time Protocol] 領域に移動し、

NTP サーバホスト名または IP アドレスを、サーバクロックの設定に使用したサーバホスト名または IP アドレスと同じものに設定します。詳細については、「ネットワーク内のクロックの同期化」（P.3-5）を参照してください。

電子メールおよび SNMP によって送信されるアラートは、リアルタイムクロックの設定を使用してア

ラートにタイムスタンプを付けます。クロックの設定では、タイムゾーンの異なる遠隔地からシステ

ムを管理している管理者が使いやすいように、グリニッジ標準時（GMT）のオフセットと夏時間

（DST）がサポートされています。サーバがオフまたはディセーブルである場合でも、イベントログに

リモートからアクセスできます。

IMM の日付と時刻の設定を確認する手順は、次のとおりです。

ステップ 1 IMM の日付と時刻の値を設定する IMM にログインします。詳細については、第 2 章「IMM Web イン


ステップ 2 ナビゲーションペインで [System Settings] をクリックし、[IMM Date and Time] 領域までスクロール

します。ここに、Web ページが生成されたときの日付と時刻が表示されます。

ステップ 3 日付と時刻の設定を無効にして、夏時間（DST）およびグリニッジ標準時（GMT）のオフセットをイ

ネーブルにするには、[Set IMM Date and Time] をクリックします。次の図に示すようなページが表示

されます。




ステップ 4 [Date] フィールドに、現在の月、日、および年を示す数字を入力します。

ステップ 5 [Time] フィールドでは、適用可能なエントリフィールドにある現在の時、分、秒に対応する数字を入

力します。時間（hh）は、24 時間クロックの表示に従って 00 ～ 23 の数字にする必要があります。分

（mm）と秒（ss）は、00 ～ 59 の数字にする必要があります。

ステップ 6 [GMT offset] フィールドで、サーバが配置されているタイムゾーンに対応する、グリニッジ標準時

（GMT）からのオフセット（時間単位）を指定する数字を選択します。

ステップ 7 [Automatically adjust for daylight saving changes] チェックボックスをオンまたはオフにして、現地時

間が標準時間と夏時間で切り替わったときに IMM クロックを自動的に調整するかどうかを指定しま

す。

ステップ 8 [Save] をクリックします。

ネットワーク内のクロックの同期化

ネットワークタイムプロトコル（NTP）は、コンピュータネットワーク全体でのクロックの同期化を

可能にし、NTP クライアントが NTP サーバから正確な時刻を取得できるようにします。

IMM NTP 機能は、IMM リアルタイムクロックと、NTP サーバが提供する時刻の同期化を可能にしま

す。使用される NTP サーバの指定、IMM を同期化する頻度の指定、NTP 機能のイネーブル化または

ディセーブル化、および即時時刻同期化の要求を行うことができます。

NTP 機能は、NTP バージョン 3 および NTP バージョン 4 の暗号化アルゴリズムによって提供される

拡張セキュリティおよび認証は提供しません。IMM NTP 機能は、認証のない簡易ネットワークタイムプロトコル（SNTP）のみをサポートします。

IMM NTP 機能を設定する手順は、次のとおりです。

ステップ 1 ネットワーク内でクロックを同期化する IMM にログインします。詳細については、第 2 章「IMM Web インターフェイスの開始および使用」を参照してください。

ステップ 2 ナビゲーションペインで [System Settings] をクリックし、[IMM Date and Time] 領域までスクロール

します。

ステップ 3 [Set IMM Date and Time] をクリックします。次の図に示すようなページが表示されます。




ステップ 4 [Network Time Protocol (NTP)] から、次の設定を選択できます。

[NTP auto-synchronization service]：この選択を使用して、IMM クロックと NTP サーバの自動同期化

をイネーブルまたはディセーブルにします。

[NTP server host name or IP address]：このフィールドを使用して、クロックの同期化に使用する NTP サーバの名前を指定します。

[NTP update frequency]：このフィールドを使用して、同期化要求のおおよその間隔（分単位）を指定

します。3 ～ 1440 分の値を入力してください。

[Synchronize Clock Now]：間隔時間の経過を待たずにただちに同期化を要求するには、このボタンを

クリックします。


USB インバンドインターフェイスのディセーブル化

（注） Cisco Flex 7500 シリーズワイヤレスコントローラでは、USB インバンドインターフェイスをイネー

ブルすることができません。この設定は変更しないでください。

（注）重要：USB インバンドインターフェイスをディセーブルにすると、Linux フラッシュユーティリティ

を使用した IMM ファームウェア、サーバファームウェア、および DSA ファームウェアのインバンドアップデートを実行できません。USB インバンドインターフェイスがディセーブルの場合は、IMM Web インターフェイスに対する [Firmware Update] オプションを使用して、ファームウェアを更新し

ます。

USB インバンドインターフェイスをディセーブルにした場合は、サーバが予期せずに再起動しないよ

う、ウォッチドッグタイムアウトもディセーブルにしてください。詳細については、「サーバタイムア

ウトの設定」（P.3-3）を参照してください。

USB インバンドインターフェイス、または LAN over USB は、IMM へのインバンド通信に使用され

ます。サーバで実行中のアプリケーションが、IMM に対してタスクの実行を要求しないよう、USB インバンドインターフェイスをディセーブルにする必要があります。

USB インバンドインターフェイスをディセーブルにする手順は、次のとおりです。



ログインプロファイルの作成

ステップ 1 USB デバイスドライバインターフェイスをディセーブルにする IMM にログインします。詳細につい

ては、第 2 章「IMM Web インターフェイスの開始および使用」を参照してください。

ステップ 2 ナビゲーションペインで [System Settings] をクリックし、[Miscellaneous] 領域までスクロールしま

す。次の図に示すようなページが表示されます。

ステップ 3 [Do not allow commands on USB interface] チェックボックスをオンにして、USB インバンドインター

フェイスをディセーブルにします。USB インバンドインターフェイスをディセーブルにすると、

Advanced Settings Utility（ASU）やファームウェアアップデートパッケージユーティリティなどの

インバンドシステム管理アプリケーションが機能しなくなる場合があります。

（注） IPMI デバイスドライバがインストールされている場合、ASU は USB インバンドインターフェイスが

ディセーブルの状態でも機能します。

インバンドインターフェイスがディセーブルのときに、システム管理アプリケーションを使用しよう

としても、機能しない場合があります。


ディセーブルにした USB デバイスドライバインターフェイスをイネーブルにするには、[Do not allow commands on USB interface] チェックボックスをオフにして、[Save] をクリックします。

（注） USB インバンドインターフェイスは、「LAN over USB」とも呼ばれています。

ログインプロファイルの作成[Login Profiles] テーブルを使用して、個々のログインプロファイルを表示、設定、または変更できま

す。個々のログインプロファイルを設定するには、[Login ID] カラムのリンクを使用します。一意の

プロファイルを 12 個まで定義できます。[Login ID] カラムの各リンクには、関連するプロファイルに

設定されたログイン ID のラベルが付いています。

特定のログインプロファイルは、IPMI ユーザ ID と共有され、IPMI を含むすべての IMM ユーザイン

ターフェイスで使用する 1 組のローカルユーザアカウント（ユーザ名 /パスワード）を提供します。次

のリストで、これらの共有ログインプロファイルに関するルールについて説明します。

• IPMI ユーザ ID 1 は、常にヌルユーザです。

• IPMI ユーザ ID 2 はログイン ID 1、IPMI ユーザ ID 3 はログイン ID 2 というようにマップされま

す。

• IMM デフォルトユーザには、IPMI ユーザ ID 2 とログイン ID 1 の USERID と PASSW0RD（英

字の O ではなくゼロを使用）が設定されます。




たとえば、IPMI コマンドによってユーザが追加された場合、そのユーザの情報も Web、Telnet、SSH、

およびその他のインターフェイスを介した認証に使用できます。これに対して、Web やその他のイン

ターフェイスでユーザが追加されると、そのユーザの情報は IPMI セッションを開始するために使用で

きます。

ユーザアカウントは IPMI と共有されるので、それらのアカウントを使用するインターフェイス間に共

通性をもたらすために一定の制約が課されます。次のリストで、IMM および IPMI ログインプロファ

イルの制約について説明します。

• IPMI では、大 64 個のユーザ ID が許可されます。IMM IPMI の実装で許可されるユーザアカウ

ントは 12 個のみです。

• IPMI では、匿名ログイン（ヌルユーザ名とヌルパスワード）が許可されますが、IMM では許可

されません。

• IPMI では、複数のユーザ ID が同じユーザ名を持つことが許可されますが、IMM では許可されま

せん。

• 現在名から同じ現在名にユーザ名を変更する IPMI 要求では、要求されたユーザ名がすでに使用さ

れているため、無効なパラメータ実行コードが返されます。

• IMM に対する IPMI パスワードの大長は 16 バイトです。

• 次の単語には制約があり、ローカル IMM ユーザ名としては使用できません。

– immroot

– nobody

– ldap

– lighttpd

– sshd

– daemon

– immftp

ログインプロファイルを設定する手順は、次のとおりです。

ステップ 1 ログインプロファイルを作成する IMM にログインします。詳細については、第 2 章「IMM Web イン


ステップ 2 ナビゲーションペインで [Login Profiles] をクリックします。

（注）プロファイルを設定していない場合は、[Login Profiles] テーブルに表示されません。




次の図に示すように、[Login Profiles] ページには、各ログイン ID、ログインアクセスレベル、およ

びパスワードの期限情報が表示されます。

重要：IMM にはデフォルトで、ログインユーザ ID に USERID およびパスワードに PASSW0RD（0 は英字の O ではなくゼロ）を使用したリモートアクセスをイネーブルにする 1 つのログインプロファ

イルが設定されます。潜在的なセキュリティ上の弱点を回避するため、IMM の初期設定でこのデフォ

ルトログインプロファイルを変更してください。

ステップ 3 [Add User] をクリックします。次の図のような個別のプロファイルページが表示されます。




ステップ 4 [Login ID] フィールドに、プロファイルの名前を入力します。

[Login ID] フィールドには大 16 文字を入力できます。有効な文字は大文字、小文字、数字、ピリオ

ド、および下線です。

（注）このログイン ID を使用して、IMM にリモートアクセス権が付与されます。

ステップ 5 [Password] フィールドで、ログイン ID にパスワードを割り当てます。

パスワードは 5 文字以上とし、そのうちの 1 文字は英字以外の文字にする必要があります。ヌルまたは

空のパスワードも許可されます。

（注）このパスワードは、IMM にリモートアクセス権を付与するためのログイン ID と一緒に使用されます。

ステップ 6 [Confirm Password] フィールドに、パスワードを再入力します。

ステップ 7 [Authority Level] 領域で、次のいずれかのオプションを選択して、このログイン ID のアクセス権を設

定します。

[Supervisor]：ユーザには制限はありません。

[Read Only]：ユーザは、読み取り専用アクセスのみが可能となり、ファイル転送などのアクション、

電源投入と再起動のアクション、またはリモートプレゼンス機能は実行できません。

[Custom]：[Custom] オプションを選択した場合は、次に示す 1 つまたは複数のカスタム許可レベルを

選択する必要があります。

• [User Account Management]：ユーザは、ユーザの追加、変更、または削除、および [Login Profiles] ページのグローバルログイン設定の変更を行うことができます。

• [Remote Console Access]：ユーザはリモートコンソールにアクセスできます。




• [Remote Console and Virtual Media Access]：これはサポートされていません。

• [Remote Server Power/Restart Access]：ユーザは、リモートサーバに対する電源投入および再起

動の機能にアクセスできます。これらの機能は、[Power/Restart] ページで使用できます。

• [Ability to Clear Event Logs]：ユーザは、イベントログをクリアできます。イベントログは誰で

も見ることはできますが、ログをクリアするにはこの特定の権限が必要です。

• [Adapter Configuration - Basic]：ユーザは、[System Settings and Alerts] ページで設定パラメータ

を変更できます。

• [Adapter Configuration - Networking & Security]：ユーザは、[Security]、[Network Protocols]、[Network Interface]、[Port Assignments]、および [Serial Port] の各ページで設定パラメータを変更

できます。

• [Adapter Configuration - Advanced]：ユーザには、IMM を設定するときの制限はありません。ま

た、ユーザは、IMM への管理上のアクセスが可能です。つまり、ユーザは、ファームウェアアッ

プデート、PXE ネットワークブート、IMM の工場出荷時のデフォルトの復元、設定ファイルから

の IMM 設定の変更と復元、および IMM の再起動とリセットなどの高度な機能も実行できます。

ユーザが IMM ログイン ID の許可レベルを設定すると、対応する IPMI ユーザ ID の IPMI 特権レベル

が次の優先順位に従って設定されます。

• ユーザが IMM ログイン ID の許可レベルを [Supervisor] に設定すると、IPMI 特権レベルは [Administrator] に設定されます。

• ユーザが IMM ログイン ID の許可レベルを [Read Only] に設定すると、IPMI 特権レベルは [User] に設定されます。

• ユーザが IMM ログイン ID の許可レベルに対して次のアクセスタイプのいずれかを設定すると、

IPMI 特権レベルは [Administrator] に設定されます。

– User Account Management Access

– Remote Console Access

– Remote Console and Remote Disk Access

– Adapter Configuration - Networking & Security

– Adapter Configuration - Advanced

• ユーザが IMM ログイン ID の許可レベルに対して [Remote Server Power/Restart Access] または [Ability to Clear Event Logs] を設定すると、IPMI 特権レベルは [Operator] に設定されます。

• ユーザが IMM ログイン ID の許可レベルに対して [Adapter Configuration (Basic)] を設定すると、

IPMI 特権レベルは [User] に設定されます。

（注）ログインプロファイルを工場出荷時のデフォルトに戻すには、[Clear Login Profiles] をクリックしま

す。

ステップ 8 [Configure SNMPv3 User] 領域で、ユーザが SNMPv3 プロトコルを使用して IMM にアクセスできる

かどうかをチェックボックスで選択します。チェックボックスをオンすると、次の図のようなページの

領域が表示されます。



ログインプロファイルの削除

次のフィールドを使用して、ユーザプロファイルに対する SNMPv3 の設定を行います。

[Authentication Protocol]：このフィールドを使用して、[HMAC-MD5] または [HMAC-SHA] を認証

プロトコルとして指定します。これらは、SNMPv3 セキュリティモデルで認証に使用されるハッシュアルゴリズムです。Linux アカウントのパスワードは、認証に使用されます。[None] を選択すると、

認証プロトコルは使用されません。

[Privacy Protocol]：SNMP クライアントとエージェント間のデータ転送は、暗号化を使用して保護で

きます。サポートされる方法は、DES および AES です。プライバシープロトコルは、認証プロトコ

ルが HMAC-MD5 または HMAC-SHA に設定されている場合のみ有効です。

[Privacy Password]：このフィールドを使用して、暗号化パスワードを指定します。

[Confirm Privacy Password]：このフィールドを使用して、暗号化パスワードを確認します。

[Access Type]：このフィールドを使用して、[Get] または [Set] をアクセスタイプとして指定します。

アクセスタイプが Get の SNMPv3 ユーザは、照会操作のみを実行できます。アクセスタイプが Set の SNMPv3 ユーザは、照会操作の実行と設定の変更（ユーザに対するパスワードの設定など）の両方を

行えます。

[Hostname/IP address for traps]：このフィールドを使用して、ユーザのトラップ宛先を指定します。こ

れは、IP アドレスまたはホスト名になります。SNMP エージェントは、トラップを使用して、管理ス

テーションにイベント（プロセッサの温度が制限を超えた場合など）を通知します。

ステップ 9 [Save] をクリックして、ログイン ID の設定を保存します。

ログインプロファイルの削除ログインプロファイルを削除する手順は、次のとおりです。

ステップ 1 ログインプロファイルを作成する IMM にログインします。詳細については、第 2 章「IMM Web イン


ステップ 2 ナビゲーションペインで [Login Profiles] をクリックします。[Login Profiles] ページには、各ログイン ID、ログインアクセスレベル、およびパスワードの期限情報が表示されます。

ステップ 3 削除するログインプロファイルをクリックします。そのユーザに関する [Login Profile] ページが表示

されます。



グローバルログインの設定

ステップ 4 [Clear Login Profile] をクリックします。

グローバルログインの設定IMM のすべてのログインプロファイルに適用する条件を設定する手順は、次のとおりです。

ステップ 1 グローバルログインを設定する IMM にログインします。詳細については、第 2 章「IMM Web イン


ステップ 2 ナビゲーションペインで [Login Profiles] をクリックします。

ステップ 3 [Global Login Settings] 領域までスクロールします。次の図に示すようなページが表示されます。

ステップ 4 [User authentication method] フィールドで、ログインを試みているユーザの認証方法を指定します。

次の認証方法のいずれかを選択します。

• [Local only]：ユーザは、IMM のローカルであるテーブルの検索によって認証されます。ユーザ ID とパスワードに不一致があると、アクセスは拒否されます。正常に認証されたユーザには、「ロ

グインプロファイルの作成」（P.3-7）で設定した許可レベルが割り当てられます。

• [LDAP only]：IMM は、LDAP サーバを使用してユーザの認証を試みます。IMM 上のローカルユーザテーブルは、この認証方法では検索されません。

• [Local first, then LDAP]：ローカル認証が初に試みられます。ローカル認証に失敗すると、

LDAP 認証が試みられます。

• [LDAP first, then Local]：LDAP 認証が初に試みられます。LDAP 認証が失敗した場合は、ロー

カル認証が試みられます。



リモートアラートの設定

（注） IPMI は LDAP 認証をサポートしないので、ローカルで管理されるアカウントだけが IPMI インターフェイスと共有されます。

（注） [User authentication method] フィールドが [LDAP only] に設定されている場合でも、ユーザは

ローカルで管理されるアカウントを使用して IPMI インターフェイスにログインできます。

ステップ 5 [Lockout period after 5 login failures] フィールドに、連続して 5 回を超えるリモートログインの失敗

があったことが検出された場合に、IMM がリモートログインの試行を禁止する時間（分単位）を指定

します。1 人のユーザがロックアウトされても、他のユーザがログインできなくなることはありませ

ん。

ステップ 6 [Web inactivity session timeout] フィールドで、非アクティブな Web セッションを切断する前に IMM が待機する時間（分単位）を指定します。[No timeout] を選択すると、この機能がディセーブルになり

ます。ユーザがログインプロセスでタイムアウト期間を選択する場合は、[User picks timeout] を選択

します。

ステップ 7 （任意）[Account security level] 領域で、パスワードセキュリティレベルを選択します。[Legacy security settings] および [High security settings] には、要件リストに示すとおりのデフォルト値が設定

されます。

ステップ 8 セキュリティ設定をカスタマイズするには、[Custom security settings] を選択してアカウントセキュリ

ティ管理の設定を表示し、変更します。

[User login password required]：このフィールドを使用して、パスワードなしのログイン ID が許可さ

れるかどうかを示します。

[Number of previous passwords that cannot be used]：このフィールドを使用して、再使用できない以前

のパスワードの数を示します。以前のパスワードは 5 つまで照合できます。[0] を選択すると、以前の

パスワードをすべて再使用できます。

[Maximum Password Age]：このフィールドを使用して、パスワードの大経過時間を示します。この

経過時間を越えると、パスワードの変更が必要になります。0 ～ 365 日の値がサポートされます。パス

ワードの期限チェックをディセーブルにするには、[0] を選択します。


リモートアラートの設定ナビゲーションペインの [Alerts] リンクから、リモートアラートの受信者、アラートの試行回数、リ

モートアラートをトリガーする事象、およびローカルアラートを設定できます。

リモートアラートの受信者を設定すると、[Monitored Alerts] グループから選択したイベントが発生し

た場合に、IMM からその受信者にネットワーク接続を介してアラートが送信されます。このアラート

には、イベントの性質、イベントの日時、およびアラートを生成したシステムの名前についての情報が

含まれます。

（注） [SNMP Agent] フィールドまたは [SNMP Traps] フィールドが [Enabled] に設定されていないと、

SNMP トラップは送信されません。これらのフィールドの詳細については、「SNMP の設定」（P.3-23）を参照してください。




リモートアラート受信者の設定

固有のリモートアラート受信者を 12 件まで定義できます。アラート受信者に対する各リンクには、受

信者の名前とアラートステータスのラベルが付きます。

（注）アラート受信者のプロファイルを設定していない場合は、リモートアラート受信者のリストにプロ

ファイルが表示されません。

リモートアラート受信者を設定する手順は、次のとおりです。

ステップ 1 リモートアラートを設定する IMM にログインします。詳細については、第 2 章「IMM Web インター

フェイスの開始および使用」を参照してください。

ステップ 2 ナビゲーションペインで、[Alerts] をクリックします。[Remote Alert Recipients] ページが表示されま

す。各受信者に通知方法とアラートステータスが設定されている場合は、それらの情報を表示できま

す。

ステップ 3 リモートアラート受信者のリンクのいずれかをクリックするか、[Add Recipient] をクリックします。

次の図のような個々の受信者ウィンドウが開きます。




ステップ 4 [Status] フィールドで [Enabled] をクリックしてリモートアラート受信者をアクティブにします。

ステップ 5 [Name] フィールドに、受信者の名前やその他の識別子を入力します。入力した名前が、[Alerts] ペー

ジで受信者に対するリンクとして表示されます。

ステップ 6 [E-mail address] フィールドに、アラートの受信者の電子メールアドレスを入力します。

ステップ 7 電子メールアラートにイベントログを組み込むには、チェックボックスを使用します。

ステップ 8 [Monitored Alerts] フィールドで、アラート受信者に送信するアラートのタイプを選択します。

リモートアラートは、次の重大度レベルに分類されます。

[Critical alerts]：重大アラートは、サーバコンポーネントが機能しなくなっていることを示すイベント

に対して生成されます。

[Warning alerts]：警告アラートは、重大レベルに進むおそれのあるイベントに対して生成されます。




[System alerts]：システムアラートは、システムエラーの結果として発生するイベント、または設定

変更の結果として発生するイベントに対して生成されます。すべてのアラートはイベントログに保存

され、設定されているすべてのリモートアラート受信者に送信されます。


グローバルリモートアラートの設定

グローバルリモートアラートの設定は、転送されるアラートにのみ適用されます。

IMM によるアラート送信の試行回数を設定する手順は、次のとおりです。

ステップ 1 リモートアラートの試行を設定する IMM にログインします。詳細については、第 2 章「IMM Web インターフェイスの開始および使用」を参照してください。

ステップ 2 ナビゲーションペインで [Alerts] をクリックし、[Global Remote Alert Settings] 領域までスクロールし

ます。

これらの設定を使用して、リモートアラートの試行回数と、試行の時間間隔を定義します。設定され

ているすべてのリモートアラート受信者にこれらの設定が適用されます。

[Remote alert retry limit]：[Remote alert retry limit] フィールドを使用して、IMM が受信者へのアラー

トの送信を試行する追加回数を指定します。IMM は複数のアラートを送信しません。追加のアラート

の試行は、IMM が初のアラートの送信を試みたときに失敗した場合のみ行われます。

（注）このアラートの設定は、SNMP アラートには適用されません。

[Delay between entries]：[Delay between entries] フィールドを使用して、IMM がリスト内の次の受信

者にアラートを送信するまで待機する時間間隔（分単位）を指定します。

[Delay between retries]：[Delay between retries] フィールドを使用して、IMM が受信者に対してア

ラートの送信を再試行する時間間隔（分単位）を指定します。




ポートの割り当ての設定

SNMP アラートの設定

SNMP エージェントは、SNMP トラップを介して IMM にイベントを通知します。イベントタイプに

基づいてイベントをフィルタリングするように、SNMP を設定できます。フィルタリングに使用でき

るイベントカテゴリは、Critical、Warning、および System です。SNMP アラートの設定は、すべて

の SNMP トラップに対してグローバルになります。

（注） IMM は、SNMP アプリケーションと併用するために 2 つの管理情報ベース（MIB）ファイルを提供し

ます。MIB ファイルは、IMM ファームウェアアップデートパッケージに含まれています。

（注） IMM は、SNMPv1 および SNMPv3 標準をサポートします。

SNMP に送信するアラートのタイプを選択する手順は、次のとおりです。

ステップ 1 リモートアラートの試行を設定する IMM にログインします。詳細については、第 2 章「IMM Web インターフェイスの開始および使用」を参照してください。

ステップ 2 ナビゲーションペインで [Alerts] をクリックし、[SNMP Alert Settings] 領域までスクロールします。

ステップ 3 1 つまたは複数のアラートタイプを選択します。リモートアラートは、次の重大度レベルに分類され

ます。

• Critical

• Warning

• System


ポートの割り当ての設定IMM サービスのポート番号を変更する手順は、次のとおりです。

ステップ 1 ポートの割り当てを設定する IMM にログインします。詳細については、第 2 章「IMM Web インター

フェイスの開始および使用」を参照してください。

ステップ 2 ナビゲーションペインで [Port Assignments] をクリックします。次の図に示すようなページが表示さ

れます。



ポートの割り当ての設定

ステップ 3 次の情報を使用して、フィールドの値を割り当てます。

[HTTP]：これは、IMM の HTTP サーバのポート番号です。デフォルトのポート番号は 80 です。その

他の有効な値の範囲は、1 ～ 65535 です。このポート番号を変更する場合は、Web アドレスの後に

コロンを付け、続けてこのポート番号を追加する必要があります。たとえば、HTTP ポートを 8500 に変更する場合は、http://hostname:8500/ と入力して IMM Web インターフェイスを開きます。IP アド

レスとポート番号の前に、プレフィックス http:// を入力する必要があることに注意してください。

[HTTPS]：これは、Web インターフェイスの HTTPS（SSL）トラフィックに使用されるポート番号で

す。デフォルト値は 443 です。その他の有効な値の範囲は、1 ～ 65535 です。

[Telnet Legacy CLI]：これは、Telnet サービスを介してログインするためのレガシー CLI 用のポート

番号です。デフォルト値は 23 です。その他の有効な値の範囲は、1 ～ 65535 です。

[SSH Legacy CLI]：これは、SSH を介してログインするためにレガシー CLI に設定されているポート

番号です。デフォルトは 22 です。

[SNMP Agent]：これは、IMM で実行する SNMP エージェント用のポート番号です。デフォルト値は 161 です。その他の有効な値の範囲は、1 ～ 65535 です。

[SNMP Traps]：これは、SNMP トラップに使用されるポート番号です。デフォルト値は 162 です。そ

の他の有効な値の範囲は、1 ～ 65535 です。

[Remote Presence]：この機能は、3 つの製品すべてでサポートされているわけではありません。

次のポート番号は予約されており、対応するサービスにのみ使用できます。


表 3-1 予約済みポート番号

ポート番号サービスの対象

427 SLP

7070 ～ 7077 パーティション管理



ネットワークインターフェイスの設定

ネットワークインターフェイスの設定[Network Interfaces] ページでは、IMM へのイーサネット接続を設定することで、IMM へのアクセス

を設定できます。IMM にイーサネットを設定する手順は、次のとおりです。

ステップ 1 設定を行う IMM にログインします。詳細については、第 2 章「IMM Web インターフェイスの開始お

よび使用」を参照してください。

ステップ 2 ナビゲーションペインで [Network Interfaces] をクリックします。次の図に示すようなページが表示さ

れます。

（注）次の図に値の例を示します。実際の設定は異なります。

ステップ 3 イーサネット接続を使用する場合は、[Interface] フィールドで [Enabled] を選択します。イーサネット

はデフォルトで有効になっています。

（注）イーサネットインターフェイスをディセーブルにすると、外部ネットワークから IMM へのす

べてのアクセスが防止されます。




ステップ 4 ダイナミックホストコンフィギュレーションプロトコル（DHCP）サーバ接続を使用する場合は、

[DHCP] フィールドで次のいずれかをクリックして、このサーバ接続をイネーブルにします。

• Enabled - Obtain IP config from DHCP server

• Try DHCP server.If it fails, use static IP config.

デフォルトの設定は、[Try DHCP server. If it fails, use static IP config.] です。

（注）ネットワーク上にアクセス可能でアクティブな設定済み DHCP サーバがない限り、DHCP をイ

ネーブルにしないでください。DHCP を使用すると、自動設定によって手動設定が無効になり

ます。

スタティック IP アドレスを IMM に割り当てる場合は、[Disabled - Use static IP configuration] を選択

します。

DHCP がイネーブルの場合、ホスト名が次のとおりに割り当てられます。

• [Hostname] フィールドにエントリがある場合、IMM DHCP サポートによって、DHCP サーバが

このホスト名を使用することが要求されます。

• [Hostname] フィールドにエントリがない場合、IMM DHCP サポートによって、DHCP サーバが

固有のホスト名を IMM に割り当てることが要求されます。

ステップ 5 [Hostname] フィールドに IMM の IP ホスト名を入力します。

このフィールドには、IMM の IP ホスト名を示す文字を 63 文字まで入力できます。ホスト名はデフォ

ルトで IMMA に設定され、その後に IMM Burned-in Media Access Control（MAC）Address が続き

ます。

（注） IMM の IP ホスト名（[Hostname] フィールド）と IMM 名（[System] ページの [Name] フィー

ルド）は、自動的に同じ名前を共有しません。これは、[Name] フィールドは 15 文字に制限さ

れていますが、[Hostname] フィールドには 63 文字まで入力できるためです。わかりやすいよ

うに、[Name] フィールドには IP ホスト名の非修飾部分を設定します。非修飾 IP ホスト名は、

完全修飾 IP ホスト名の初のピリオドまでで構成されます。たとえば、完全修飾 IP ホスト名

が imm1.us.company.com の場合、非修飾 IP ホスト名は imm1 となります。ホスト名の詳細に

ついては、「システム情報の設定」（P.3-2）を参照してください。

DHCP をイネーブルにした場合は、ステップ 12 に進みます。

DHCP をイネーブルにしていない場合は、そのままステップ 6 に進みます。

ステップ 6 [IP address] フィールドに、IMM の IP アドレスを入力します。IP アドレスは、0 ～ 255 の範囲の 4 つの整数で構成する必要があります。整数間はスペースを入れずに、ピリオドで区切ります。

ステップ 7 [Subnet mask] フィールドに、IMM で使用されるサブネットマスクを入力します。サブネットマスク

は、0 ～ 255 の範囲の 4 つの整数で構成する必要があります。整数間はスペースや連続ピリオドを使用

せず、ピリオドで区切ります。

デフォルトの設定は、255.255.255.0 です。

ステップ 8 [Gateway address] フィールドに、ネットワークゲートウェイルータを入力します。ゲートウェイアド

レスは、0 ～ 255 の範囲の 4 つの整数で構成する必要があります。整数間はスペースや連続ピリオドを

使用せず、ピリオドで区切ります。


ステップ 10 追加のイーサネット設定が必要である場合は、[Advanced Ethernet Setup] をクリックします。




次の表では、[Advanced Ethernet Setup] ページ上の機能について説明します。

表 3-2 [Advanced Ethernet Setup] ページ上の機能

フィールド機能

Auto Negotiate IMM は、スイッチ機能に応じてデータレートとデュプレックス設定を自動的に

決定します。

Data Rate [Data Rate] フィールドを使用して、LAN 接続で毎秒転送されるデータ量を指定し

ます。データレートを設定するには、メニューをクリックし、ネットワークの機

能に対応するデータ転送レート（Mb1 単位）を選択します。データ転送レートを

自動的に検出するには、[Auto Negotiate] フィールドを [Yes] に設定します。これ

は、デフォルト値になります。

Duplex [Duplex] フィールドを使用して、ネットワークで使用する通信チャネルのタイ

プを指定します。

デュプレックスモードを設定するには、次のいずれかを選択します。

• [Full] は、同時に双方向のデータ伝送を可能にします。

• [Half] は、同時に双方向ではなく、いずれか一方向のデータ伝送を可能にし

ます。

デュプレックスタイプを自動的に検出するには、[Auto Negotiate] フィールドを [Yes] に設定します。これは、デフォルト値になります。

Maximum transmission unit

[Maximum transmission unit] フィールドを使用して、ネットワークインター

フェイスに対する大パケットサイズ（バイト単位）を指定します。イーサ

ネットの場合、有効な大伝送単位（MTU）の範囲は 60 ～ 1500 です。この

フィールドのデフォルト値は 1500 です。

Locally administered MAC address

[Locally administered MAC address] フィールドに、IMM の物理アドレスを入

力します。値が指定されていると、ローカルで管理されるアドレスによって Burned-In MAC Address が無効になります。ローカルで管理されるアドレスは、

000000000000 ～ FFFFFFFFFFFF の 16 進数値であることが必要です。この値

の形式は、xx:xx:xx:xx:xx:xx でなければならず、ここで x は数字の 0 ～ 9 となり

ます。IMM は、マルチキャストアドレスの使用をサポートしません。マルチ

キャストアドレスの初のバイトは、奇数です（下位ビットは 1 に設定され

ます）。したがって、初のバイトを偶数にする必要があります。



ネットワークプロトコルの設定

ステップ 11 必要に応じて詳細なイーサネット設定を変更します。


ステップ 13 [Cancel] をクリックして、[Network Interfaces] ページに戻ります。DHCP がイネーブルの場合、サー

バは自動的にホスト名、IP アドレス、ゲートウェイアドレス、サブネットマスク、ドメイン名、

DHCP サーバ IP アドレス、および大 3 つの DNS サーバ IP アドレスを割り当てます。

ステップ 14 DHCP がイネーブルの場合に DHCP サーバが割り当てる設定を表示するには、[IP Configuration Assigned by DHCP Server] をクリックします。


ステップ 16 [View Configuration Summary] をクリックして、現在のすべての設定の要約を表示します。

ステップ 17 ナビゲーションペインで [Restart IMM] をクリックして変更をアクティブにします。

ネットワークプロトコルの設定[Network Protocols] ページで、次の機能を実行できます。

• 簡易ネットワーク管理プロトコル（SNMP）の設定

• ドメインネームシステム（DNS）の設定

• Telnet プロトコルの設定

• 簡易メール転送プロトコル（SMTP）の設定

• Lightweight Directory Access Protocol（LDAP）の設定

• サービスロケーションプロトコル（SLP）の設定

ネットワークプロトコルの設定に対する変更を有効にするには、IMM を再起動する必要があります。

複数のプロトコルを変更する場合は、すべてのプロトコル変更が完了し、保存されるまで待機してか

ら、IMM を再起動します。

SNMP の設定

SNMP エージェントを使用して、情報の収集とサーバの制御を行います。また、SNMP アラートが設

定済みのホスト名または IP アドレスに送信されるように、IMM を設定できます。

（注） IMM は、SNMP アプリケーションと併用するために 2 つの管理情報ベース（MIB）ファイル

を提供します。MIB ファイルは、IMM ファームウェアアップデートパッケージに含まれてい

ます。

Burned-in MAC address

Burned-In MAC Address は、製造業者によってこの IMM に割り当てられる一

意の物理アドレスです。このアドレスは、読み取り専用フィールドになります。

1Mb は、約 1,000,000 ビットです。

表 3-2 [Advanced Ethernet Setup] ページ上の機能（続き）

フィールド機能




（注） IMM は、SNMPv1 および SNMPv3 標準をサポートします。

SNMP を設定する手順は、次のとおりです。

ステップ 1 SNMP を設定する IMM にログインします。詳細については、第 2 章「IMM Web インターフェイスの

開始および使用」を参照してください。

ステップ 2 ナビゲーションペインで [Network Protocols] をクリックします。次の図に示すようなページが表示さ

れます。

ステップ 3 [SNMPv1 agent] フィールドまたは [SNMPv3 agent] フィールドで、[Enabled] を選択します。

（注） SNMPv3 エージェントを有効にした場合、SNMPv3 マネージャと SNMPv3 エージェントが正

常に相互作用するように、SNMPv3 にアクティブなログインプロファイルを設定する必要が

あります。これらの設定は、[Login Profiles] ページにある個々のログインプロファイル設定

の一番下で行うことができます（詳細については、「ログインプロファイルの作成」（P.3-7）を

参照してください）。設定するログインプロファイルのリンクをクリックし、ページの一番下

までスクロールして、[Configure SNMPv3 User] チェックボックスをオンにします。

ステップ 4 [SNMP traps] フィールドで [Enabled] を選択し、ネットワーク上の SNMP コミュニティにアラートを

転送します。SNMP エージェントをイネーブルにするには、次の基準を満たす必要があります。

• システム接点が [System Settings] ページに指定されている。[System Settings] ページの詳細につ

いては、「システム情報の設定」（P.3-2）を参照してください。

• システムロケーションが [System Settings] ページに指定されている。




• 少なくとも 1 つのコミュニティ名が指定されている。

• 少なくとも 1 つの有効な IP アドレスまたはホスト名（DNS がイネーブルの場合）がそのコミュニ

ティに指定されている。

（注）通知方法が SNMP であるアラート受信者は、[SNMPv1 agent] フィールドまたは [SNMPv3 agent] フィールドと、[SNMP traps] フィールドが [Enabled] に設定されていない限り、アラー

トを受信できません。

ステップ 5 コミュニティを設定して、SNMP エージェントと SNMP マネージャ間の管理関係を定義します。少な

くとも 1 つのコミュニティを定義する必要があります。各コミュニティの定義は、次のパラメータで構

成されます。

• Community Name

• Access Type

• IP address

これらのパラメータのいずれかに誤りがあると、SNMP 管理アクセス権は付与されません。

（注）エラーメッセージウィンドウが開いたら、エラーウィンドウに表示されているフィールドに

必要な調整を行ってください。次にページの一番下までスクロールし、[Save] をクリックして

修正した情報を保存します。少なくとも 1 つのコミュニティでこの SNMP エージェントがイ

ネーブルになるように設定する必要があります。

ステップ 6 [Community Name] フィールドに、名前または認証文字列を入力してコミュニティを指定します。

ステップ 7 [Access Type] フィールドで、アクセスタイプを選択します。コミュニティ内のすべてのホストに対し

てトラップの受信を許可するには、[Trap] を選択します。コミュニティ内のすべてのホストに対して、

トラップの受信と MIB オブジェクトの照会を許可するには、[Get] を選択します。また、コミュニティ

内のすべてのホストに対して、トラップの受信と MIB オブジェクトの照会および設定を許可するには、

[Set] を選択します。

ステップ 8 対応する [Host Name or IP Address] フィールドに、各コミュニティマネージャのホスト名または IP アドレスを入力します。



DNS の設定

ドメインネームシステム（DNS）を設定する手順は、次のとおりです。

ステップ 1 DNS を設定する IMM にログインします。詳細については、第 2 章「IMM Web インターフェイスの開

始および使用」を参照してください。

ステップ 2 ナビゲーションペインで [Network Protocols] をクリックし、ページの [Domain Name System (DNS)] 領域までスクロールします。次の図のようなページのセクションが表示されます。




ステップ 3 ネットワークで 1 台または複数の DNS サーバを使用可能にする場合は、[DNS] フィールドで [Enabled] を選択します。[DNS] フィールドは、ホスト名を IP アドレスに変換するためにネットワー

ク上の DNS サーバを使用するかどうかを指定します。

ステップ 4 DNS をイネーブルにした場合、[DNS server IP address] フィールドにネットワーク上の大 3 台の DNS サーバの IP アドレスを指定します。各 IP アドレスは、ピリオドで区切られた 0 ～ 255 の整数で

構成する必要があります。



Telnet の設定

Telnet を設定する手順は、次のとおりです。

ステップ 1 Telnet を設定する IMM にログインします。詳細については、第 2 章「IMM Web インターフェイスの


ステップ 2 ナビゲーションペインで [Network Protocols] をクリックし、ページの [Telnet Protocol] 領域までスク

ロールします。同時 Telnet ユーザの大数を設定するか、Telnet アクセスをディセーブルにすること

ができます。



SMTP の設定

簡易メール転送プロトコル（SMTP）サーバの IP アドレスまたはホスト名を指定する手順は、次のと

おりです。

ステップ 1 SMTP を設定する IMM にログインします。詳細については、第 2 章「IMM Web インターフェイスの


ステップ 2 ナビゲーションペインで [Network Protocols] をクリックし、ページの [SMTP] 領域までスクロールし

ます。



LDAP の設定

ステップ 3 [SMTP Server Host Name or IP address] フィールドに、SMTP サーバのホスト名を入力します。この

フィールドを使用して、IP アドレスか、DNS がイネーブルであり、設定されている場合は SMTP サー

バのホスト名を指定します。



LDAP の設定IMM は、ローカルユーザデータベースを経由する代わりに、Lightweight Directory Access Protocol

（LDAP）サーバを使用して、LDAP サーバ上の LDAP ディレクトリを照会または検索することによ

り、ユーザを認証できます。IMM はその後、中央の LDAP サーバを介してユーザアクセスをリモート

で認証できます。これには、IMM での LDAP クライアントサポートが必要です。LDAP サーバで検

出された情報に従って、許可レベルを割り当てることもできます。

また、通常のユーザ（パスワードチェック）認証に加え、LDAP を使用してユーザおよび IMM をグ

ループに割り当てて、グループ認証を実行することもできます。たとえば、IMM は 1 つまたは複数の

グループに関連付けることができ、ユーザは、IMM に関連付けられている 1 つ以上のグループに属し

ている場合のみグループ認証に合格します。

LDAP サーバを使用するためのクライアントの設定

LDAP サーバを使用するようにクライアントを設定する手順は、次のとおりです。

ステップ 1 クライアントを設定する IMM にログインします。詳細については、第 2 章「IMM Web インターフェ

イスの開始および使用」を参照してください。

ステップ 2 ナビゲーションペインで [Network protocols] をクリックし、ページの [Lightweight Directory Access Protocol (LDAP) Client] 領域までスクロールします。次の図に示すようなページが表示されます。



LDAP の設定

IMM には、1 つまたは複数の LDAP サーバを介したユーザ認証を行うように設定できるバージョン 2.0 LDAP クライアントが含まれます。認証に使用される LDAP サーバは、動的に検出することも、手

動で事前に設定することもできます。

ステップ 3 次のいずれかの方法を選択して、LDAP クライアントを設定します。

• LDAP サーバを動的に検出するには、[Use DNS to Find LDAP Servers] を選択します。

LDAP サーバを動的に検出することを選択した場合、サーバの検出には、RFC2782 に記述されて

いるメカニズム（サービスの場所を指定するための DNS RR）が適用されます。これは、DNS SRV として知られています。次のリストで、各パラメータについて説明します。

[Domain Source]：DNS サーバに送信される DNS SRV 要求で、ドメイン名を指定する必要があり

ます。LDAP クライアントは、選択されたオプションに応じてこのドメイン名を取得する場所を決

定します。3 つのオプションがあります。

– [Extract search domain from login id]。LDAP クライアントでは、ログイン ID にドメイン名が

使用されます。たとえば、ログイン ID が [email protected] である場合、ドメイン

名は mycompany.com です。ドメイン名が抽出できない場合、DNS SRV が失敗し、それに

よってユーザ認証が自動的に失敗します。

– [Use only configured search domain below]。LDAP クライアントでは、[Search Domain] パラメータに設定されているドメイン名が使用されます。



LDAP の設定

– [Try login id first, then configured value]。LDAP クライアントは初に、ログイン ID からの

ドメイン名の抽出を試みます。この抽出に成功すると、このドメイン名が DNS SRV 要求に使

用されます。ドメイン名がログイン ID に存在しない場合、LDAP クライアントは設定されて

いる [Search Domain] パラメータをドメイン名として DNS SRV 要求に使用します。何も設定

されていない場合は、そこでユーザ認証が失敗します。

[Search Domain]：[Domain Source] パラメータの設定によっては、このパラメータをドメイン名

として DNS SRV 要求で使用することもできます。

[Service Name]：DNS サーバに送信される DNS SRV 要求には、サービス名も指定する必要があ

ります。設定されている値が使用されます。このフィールドをブランクのままにした場合、デフォ

ルト値は ldap です。DNS SRV 要求には、プロトコル名も指定する必要があります。デフォルト

は tcp であり、設定することはできません。

• 事前に設定された LDAP サーバを使用するには、[Use Pre-Configured LDAP Server] を選択しま

す。

（注）各サーバのポート番号は任意です。フィールドをブランクのままにした場合は、デフォル

ト値 389 が非セキュアな LDAP 接続用に使用されます。セキュアな接続用のデフォルト値

は 636 です。少なくとも 1 つの LDAP サーバを設定する必要があります。

次のパラメータを設定できます。

[Root DN]：これは、LDAP サーバにあるディレクトリツリーのルートエントリの識別名（DN）

です（たとえば、dn=mycompany,dc=com）。この DN が、すべての検索のベースオブジェクトと

して使用されます。

[UID Search Attribute]：選択されたバインディング方法が [Anonymously] または [w/ Configured Credentials] の場合、LDAP サーバへの初期バインドの後に、ユーザの DN、ログイン権限、およ

びグループメンバーシップなど、ユーザに関する特定の情報を取得することを目的とした検索要

求が続けられます。この検索要求には、そのサーバ上でユーザ ID を示すために使用される属性名

を指定する必要があります。この属性名は、ここで設定されます。

Active Directory サーバでは、この属性名は通常 sAMAccountName となります。Novell eDirectory および OpenLDAP サーバでは通常、uid となります。このフィールドをブランクのま

まにすると、デフォルトで uid に設定されます。

[Group Filter]：このフィールドは、グループ認証に使用されます。グループ認証は、ユーザのク

レデンシャルが正常に確認された後で試行されます。グループ認証に失敗すると、ユーザのログイ

ン試行は拒否されます。グループフィルタが設定されている場合、そのフィルタは、サービスプロセッサが属するグループを指定するために使用されます。つまり、ユーザがグループ認証に成功

するためには、設定されている 1 つ以上のグループに属している必要があります。

[Group Filter] フィールドをブランクのままにすると、グループ認証は自動的に成功します。グ

ループフィルタが設定されている場合は、リスト内の 1 つ以上のグループとユーザの属するグ

ループの一致が試みられます。一致がない場合、ユーザは認証に失敗し、アクセスを拒否されま

す。1 つ以上の一致があると、グループ認証は成功します。これらの照合では、大文字と小文字が

区別されます。

フィルタは 511 文字に制限されており、1 つまたは複数のグループ名で構成することができます。

複数のグループ名を区切るために、コロン（:）文字を使用する必要があります。先頭と末尾のス

ペースは無視されますが、その他のスペースはグループ名の一部として処理されます。グループ名

内のワイルドカードの使用を許可するかどうかを選択できます。フィルタは、特定のグループ名

（IMMWest など）、すべてに一致するワイルドカード（*）、またはプレフィックス付きのワイルド

カード（IMM* など）にすることができます。デフォルトのフィルタは IMM* です。インストー



LDAP の設定

ルのセキュリティポリシーによってワイルドカードの使用が禁止されている場合、ワイルドカー

ドの使用を許可しないことを選択でき、ワイルドカード文字（*）はワイルドカードではなく通常

の文字として処理されます。

グループ名は、完全な DN として指定することも、cn 部分だけを使用することもできます。たと

えば、DN が cn=adminGroup,dc=mycompany ,dc=com のグループは、実際の DN または adminGroup を使用して指定できます。

Active Directory 環境の場合のみ、ネストされたグループメンバーシップがサポートされます。た

とえば、ユーザが GroupA と GroupB のメンバーであり、GroupA が GroupC のメンバーである場

合、ユーザは GroupC のメンバーでもあると言えます。128 個のグループが検索されると、ネスト

された検索は停止します。1 つのレベルのグループが検索されてから、下位レベルのグループが検

索されます。ループは検出されません。

[Binding Method]：LDAP サーバに対して検索または照会を行うには、まず、バインド要求を送信

する必要があります。このパラメータは、LDAP サーバへのこの初期バインドの実行方法を制御し

ます。次の 3 つのオプションから選択します。

– [Anonymously]。 DN またはパスワードなしでバインドします。ほとんどのサーバは、特定の

ユーザレコードに対する検索要求を許可しないように設定されているので、このオプション

は極力使用しないようにしてください。

– [w/ Configured Credentials]。設定されているクライアント DN とパスワードとともにバイン

ドします。

– [w/ Login Credentials]。ログインプロセスで提供されるクレデンシャルとともにバインドしま

す。ユーザ ID は、識別名、完全修飾ドメイン名、または IMM に設定されている [UID Search Attribute] に一致するユーザ ID を介して提供されます。

初期バインドが成功すると、ログインしているユーザに属する LDAP サーバ上のエントリを見つ

けるための検索が実行されます。必要に応じて 2 回目のバインドが試行され、この時点ではログイ

ンプロセスで入力されたユーザの LDAP レコードおよびパスワードから取得された DN が使用さ

れます。このバインドに失敗すると、ユーザはアクセスを拒否されます。2 回目のバインドは、匿

名または設定されたクレデンシャルによるバインディング方法を使用する場合のみ実行されます。

LDAP クライアント認証の設定

LDAP クライアント認証を設定する手順は、次のとおりです。

ステップ 1 ナビゲーションペインで [Network protocols] をクリックします。

ステップ 2 ページの [Lightweight Directory Access Protocol (LDAP) Client] 領域までスクロールし、[Set DN and password only if Binding Method used is w/ Configured Credentials] をクリックします。

ステップ 3 クライアントベースの認証を使用するには、[Client DN] フィールドにクライアントの識別名を入力し

ます。[Password] フィールドにパスワードを入力するか、ブランクのままにします。

LDAP 検索属性の設定

LDAP 検索属性を設定する手順は、次のとおりです。




LDAP の設定

ステップ 2 [Lightweight Directory Access Protocol (LDAP) Client] 領域までスクロールし、[Set attribute names for LDAP client search algorithm] をクリックします。

ステップ 3 検索属性を設定するには、次の情報を使用します。

[UID Search Attribute]：選択されたバインディング方法が [Anonymously] または [w/ Configured Credentials] の場合、LDAP サーバへの初期バインドの後に、識別名、ログイン権限、およびグループメンバーシップなど、ユーザに関する特定の情報を取得することを目的とした検索要求が実行されま

す。この情報を取得するには、そのサーバ上のユーザ ID を示すために使用される属性名を検索要求で

指定する必要があります。この名前は特に、ユーザが入力するログイン ID に対する検索フィルタとし

て使用されます。この属性名は、ここで設定されます。たとえば、Active Directory サーバでは、ユー

ザ ID に使用される属性名は通常 sAMAccoutName となります。Novell eDirectory および OpenLDAP サーバでは通常、uid となります。このフィールドをブランクのままにすると、ユーザ認証時にデフォ

ルトの UID が使用されます。

[Group Search Attribute]：Active Directory または Novell eDirectory 環境では、このパラメータで、

ユーザが属するグループの識別に使用される属性名を指定します。Active Directory では、これは通常 memberOf となり、eDirectory では通常 groupMembership となります。

OpenLDAP サーバ環境では、ユーザは一般に、objectClass が PosixGroup であるグループに割り当て

られます。その環境では、このパラメータで、特定の PosixGroup のメンバーを識別するのに使用され

る属性名を指定します。これは通常、memberUid になります。

このフィールドをブランクのままにすると、フィルタ内の属性名はデフォルトで memberOf に設定さ

れます。

[Login Permission Attribute]：ユーザが LDAP サーバを介して正常に認証された場合、このユーザのロ

グイン権限を取得する必要があります。これらの権限を取得するには、サーバに送信される検索フィル

タで、ログイン権限に関連付けられた属性名を指定する必要があります。このフィールドは、この属性

名を指定します。

このフィールドをブランクのままにすると、ユーザにはデフォルトの読み取り専用権限が割り当てら

れ、ユーザおよびグループ認証に合格したものと見なされます。

キーワード文字列 IBMRBSPermissions= に対して、LDAP サーバから返される属性値が検索されま

す。このキーワードのすぐ後には必ず、12 個の連続する 0 または 1 で入力されるビット文字列が続き

ます。各ビットは、機能のセットを表します。ビットには、それぞれの位置に従って番号が割り当てら

れます。左端のビットはビット位置 0、右端のビットはビット位置 11 です。特定の位置の値が 1 であ

る場合、その位置に関連付けられている機能がイネーブルになります。値 0 は、その機能をディセーブ

ルにします。文字列 IBMRBSPermissions=010000000000 は、有効な例です。

IBMRBSPermissions= キーワードを使用すると、属性フィールドの任意の場所への配置が可能になり

ます。これによって、LDAP 管理者は既存の属性を再使用することができるので、LDAP スキーマの

拡張を防止できます。また、属性を本来の目的で使用することも可能になります。キーワード文字列

は、属性フィールド内の任意の場所に追加できます。使用する属性は、自由形式の文字列に対応できる

必要があります。

属性が正常に取得されると、LDAP サーバから返される値が、次の情報に基づいて解釈されます。

• 常に拒否（ビット位置 0）：このビットが設定されている場合、ユーザは常に認証に失敗します。

この機能を使用して、特定のグループに関連付けられている 1 人または複数のユーザをブロックで

きます。

• スーパーバイザアクセス権（ビット位置 1）：このビットが設定されていると、ユーザには管理者

特権が与えられます。ユーザは、すべての機能に対する読み取りおよび書き込みアクセス権を持ち

ます。このビットが設定されている場合、ビット 2 ～ 11 を個別に設定する必要はありません。

• 読み取り専用アクセス（ビット位置 2）：このビットが設定されていると、ユーザには読み取り専

用アクセスが割り当てられ、メンテナンス手順（再起動、リモートアクション、ファームウェアアップデートなど）を実行したり、何らかのデータを（保存、クリア、または復元機能を使用し



LDAP の設定

て）変更したりすることはできません。読み取り専用アクセスビットとその他のすべてのビット

は相互に排他的であり、読み取り専用アクセスビットの優先順位がも低くなります。その他の

ビットが設定されている場合、読み取り専用アクセスビットは無視されます。

• ネットワーキングおよびセキュリティ（ビット位置 3）：このビットが設定されている場合、ユー

ザは [Security]、[Network Protocols]、[Network Interface]、[Port Assignments]、および [Serial Port] の各ページの設定を変更できます。

• ユーザアカウント管理（ビット位置 4）：このビットが設定されている場合、ユーザは [Login Profiles] ページでユーザの追加、変更、または削除、および [Global Login Settings] の変更を行う

ことができます。

• リモートコントロールアクセス（ビット位置 5）：このビットが設定されている場合、ユーザはリ

モートサーバコンソールにアクセスできます。

• リモートコンソールおよびリモートディスク（ビット位置 6）：このビットが設定されている場

合、ユーザはリモートサーバコンソールと、リモートサーバに対するリモートディスク機能にア

クセスできます。

• リモートサーバの電源投入 /再起動アクセス（ビット位置 7）：このビットが設定されていると、

ユーザはリモートサーバに対する電源投入および再起動機能にアクセスできます。これらの機能

は、[Power/Restart] ページで使用できます。

• 基本アダプタ設定（ビット位置 8）：このビットが設定されている場合、ユーザは、[System Settings] ページおよび [Alerts] ページの設定パラメータを変更できます。

• イベントログをクリアする機能（ビット位置 9）：このビットが設定されている場合、ユーザはイ

ベントログをクリアできます。イベントログはすべてのユーザが表示できますが、ログをクリア

するにはこの特定の権限が必要です。

• 高度なアダプタ設定（ビット位置 10）：このビットが設定されている場合、ユーザには IMM を設

定するときの制約はありません。また、ユーザは、IMM への管理上のアクセスが可能です。つま

り、ユーザはファームウェアアップデート、PXE ネットワークブート、IMM 工場出荷時のデ

フォルトの復元、設定ファイルからの IMM 設定の変更と復元、および IMM の再起動とリセット

などの高度な機能も実行できます。

• 予約済み（ビット位置 11）：このビットは、将来のために予約されています。

いずれのビットも設定されていない場合、ユーザには読み取り専用許可が与えられます。

ユーザレコードから直接取得されるログイン権限に、優先順位が割り当てられます。ログイン権限属

性がユーザのレコードにない場合、ユーザが属するグループからの権限の取得が試みられます。この試

みは、グループ認証フェーズの一環として行われます。ユーザには、すべてのグループに対するすべて

のビットの包含的論理和が割り当てられます。読み取り専用ビットは、その他のビットがすべてゼロの

場合のみ設定されます。常に拒否ビットがいずれかのグループに設定されている場合、ユーザはアクセ

スを拒否されます。常に拒否ビットは、その他のどのビットよりも優先されます。

重要：ユーザに対して基本、ネットワーキング、およびセキュリティ関連の IMM 設定パラメータを変

更する権限を与える場合は、そのユーザに IMM を再起動する権限も与えることを検討してください

（ビット位置 10）。そうしないと、ユーザはパラメータを変更できても（IMM の IP アドレスなど）、そ

の変更を有効にすることができません。

サービスロケーションプロトコル（SLP）

SLP の設定を表示する手順は、次のとおりです。




セキュリティの設定

ステップ 2 [Service Location Protocol (SLP)] 領域までスクロールします。表示されるマルチキャストアドレスは、

IMM SLP サーバがリッスンしている IP アドレスになります。

セキュリティの設定この項の一般的な手順を使用して、IMM Web サーバと、IMM および LDAP サーバ間の接続に対する

セキュリティを設定します。SSL 証明書の使用に慣れていない場合は、「SSL 証明書の概要」（P.3-34）の情報をお読みください。

次の一般的なタスクリストを使用して、IMM に対するセキュリティを設定します。

1. セキュア Web サーバを設定します。

a. SSL サーバをディセーブルにします。[Security] ページの [HTTPS Server Configuration for Web Server] 領域を使用します。

b. 証明書を生成またはインポートします。[Security] ページの [HTTPS Server Certificate Management] 領域を使用します（「SSL サーバ証明書の管理」（P.3-34）を参照）。

c. SSL サーバをイネーブルにします。[Security] ページの [HTTPS Server Configuration for Web Server] 領域を使用します（「セキュア Web サーバに対する SSL のイネーブル化」（P.3-39）を

参照）。

2. LDAP 接続に対して SSL セキュリティを設定します。

a. SSL クライアントをディセーブルにします。[Security] ページの [SSL Client Configuration for LDAP Client] 領域を使用します。

b. 証明書を生成またはインポートします。[Security] ページの [SSL Client Certificate Management] 領域を使用します（「SSL クライアント証明書の管理」（P.3-39）を参照）。

c. 1 つまたは複数の信頼できる証明書をインポートします。[Security] ページの [SSL Client Trusted Certificate Management] 領域を使用します（「SSL クライアントの信頼できる証明書

の管理」（P.3-39）を参照）。

d. SSL クライアントをイネーブルにします。[Security] ページの [SSL Client Configuration for LDAP Client] 領域を使用します（「LDAP クライアントに対する SSL のイネーブル化」

（P.3-40）を参照）。

3. IMM を再起動して、SSL サーバの設定の変更を有効にします。詳細については、「IMM の復元」

（P.3-44）を参照してください。

（注） SSL クライアントの設定の変更はただちに有効になり、IMM を再起動する必要はありません。

セキュア Web サーバおよびセキュア LDAPSecure Sockets Layer（SSL）は、通信プライバシーを提供するセキュリティプロトコルです。SSL は、クライアント /サーバアプリケーションが、傍受、改ざん、およびメッセージの偽造を防止するこ

とを目的とした方法で通信できるようにします。




セキュアサーバ（HTTPS）とセキュア LDAP 接続（LDAPS）の 2 つのタイプの接続に SSL サポート

を使用するよう、IMM を設定できます。IMM は、接続タイプによって、SSL クライアントまたは SSL サーバの役割を果たします。次の表は、IMM がセキュア Web サーバ接続の場合に SSL サーバと

して機能することを示しています。セキュア LDAP 接続の場合には、IMM は SSL クライアントとし

て機能します。

SSL 設定は、[Security] ページから表示または変更できます。SSL をイネーブルまたはディセーブルに

して、SSL に必要とされる証明書を管理できます。

SSL 証明書の概要

SSL は、自己署名証明書、または第三者の認証局が署名する証明書と一緒に使用できます。自己署名

証明書の使用は、SSL のも簡単な使用方法ですが、わずかなセキュリティリスクをもたらします。

クライアントとサーバの間で試みられる初の接続に対して、SSL サーバのアイデンティティを検証

する手段が SSL クライアントにないために、リスクが生じます。第三者がサーバを装い、IMM と Web ブラウザ間に流れるデータを傍受するおそれがあります。ブラウザと IMM 間の初期接続時に、自己署

名証明書がブラウザの証明書ストアにインポートされると、（初期接続で攻撃されなかったと仮定して）

そのブラウザについてはそれ以降のすべての通信がセキュアになります。

さらにセキュリティを充実させるため、認証局によって署名された証明書を使用できます。署名付き証

明書を取得するには、[SSL Certificate Management] ページを使用して証明書署名要求を生成します。

次に、その証明書署名要求を認証局に送信し、証明書を調達する手続きを行います。証明書を受信した

ら、[Import a Signed Certificate] リンクを介してその証明書を IMM にインポートし、SSL をイネーブ

ルにすることができます。

認証局は、IMM のアイデンティティを確認する役割を果たします。証明書には、認証局と IMM に対

するデジタル署名が含まれます。有名な認証局から証明書を発行されるか、認証局の証明書がすでに Web ブラウザにインポートされている場合、ブラウザはその証明書を検証し、IMM Web サーバを明確

に識別します。

IMM は、セキュア Web サーバとセキュア LDAP クライアントのそれぞれの証明書を必要とします。

また、セキュア LDAP クライアントは 1 つまたは複数の信頼できる証明書を必要とします。信頼でき

る証明書は、セキュア LDAP クライアントが LDAP サーバを明確に識別するために使用されます。信

頼できる証明書とは、LDAP サーバの証明書に署名した認証局の証明書です。LDAP サーバが自己署

名証明書を使用する場合、信頼できる証明書を LDAP サーバ自体の証明書にすることができます。複

数の LDAP サーバを構成に使用する場合は、追加の信頼できる証明書をインポートする必要がありま

す。

SSL サーバ証明書の管理

SSL サーバは、SSL をイネーブルにする前に、有効な証明書と対応する秘密暗号キーがインストール

されていることを必要とします。秘密キーと必要な証明書を生成するには、自己署名証明書を使用する

方法と、認証局が署名した証明書を使用する方法があります。SSL サーバの自己署名証明書の使用に

ついては、「自己署名証明書の生成」（P.3-35）を参照してください。SSL サーバの認証局署名証明書の

表 3-3 IMM の SSL 接続サポート

接続タイプ SSL クライアント SSL サーバ

セキュア Web サーバ（HTTPS）ユーザの Web ブラウザ（例：Microsoft Internet Explorer）

IMM Web サーバ

セキュア LDAP 接続（LDAPS） IMM LDAP クライアント LDAP サーバ




使用については、「証明書署名要求の生成」（P.3-36）を参照してください。

自己署名証明書の生成

新規の秘密暗号キーと自己署名証明書を生成する手順は、次のとおりです。

ステップ 1 ナビゲーションペインで [Security] をクリックします。次の図に示すようなページが表示されます。

ステップ 2 [SSL Server Configuration for Web Server] 領域で、設定が [Disabled] であることを確認します。ディ

セーブルでない場合は、[Disabled] を選択してから [Save] をクリックします。

（注）選択した値（[Enabled] または [Disabled]）を有効にするには、IMM を再起動する必要があります。

（注） SSL をイネーブルにするには、有効な SSL 証明書が所定の場所になければなりません。

（注） SSL を使用するには、SSL3 または TLS を使用するようにクライアントの Web ブラウザを設定する必

要があります。SSL2 しかサポートしない以前のエクスポートグレードブラウザは使用できません。

ステップ 3 [SSL Server Certificate Management] 領域で、[Generate a New Key and a Self-signed Certificate] を選

択します。次の図に示すようなページが表示されます。




ステップ 4 設定に適用する必須のフィールドと任意のフィールドに情報を入力します。フィールドの説明について

は、「必須の証明書データ」（P.3-37）を参照してください。情報を入力し終えたら、[Generate Certificate] をクリックします。新規の暗号キーと証明書が生成されます。このプロセスには数分かか

ることがあります。自己署名証明書をインストールするかどうかの確認が表示されます。

証明書署名要求の生成

新規の秘密暗号キーと証明書署名要求を生成する手順は、次のとおりです。

ステップ 1 ナビゲーションペインで [Security] をクリックします。

ステップ 2 [SSL Server Configuration for Web Server] 領域で、SSL サーバがディセーブルであることを確認しま

す。ディセーブルでない場合は、[SSL Server] フィールドで [Disabled] を選択してから [Save] をク

リックします。

ステップ 3 [SSL Server Certificate Management] 領域で、[Generate a New Key and a Certificate-Signing Request] を選択します。次の図に示すようなページが表示されます。




ステップ 4 設定に適用する必須のフィールドと任意のフィールドに情報を入力します。フィールドは、一部の追加

フィールドを除き、自己署名証明書のものと同じです。

各共通フィールドについては、次の項の情報をお読みください。

必須の証明書データ自己署名証明書または証明書署名要求を生成するには、次のユーザ入力フィールドが必要です。

[Country]：このフィールドを使用して、IMM が物理的に配置されている国を示します。このフィール

ドには、2 文字の国番号を指定する必要があります。

[State or Province]：このフィールドを使用して、IMM が物理的に配置されている州や地方を示しま

す。このフィールドには、大 30 文字を指定できます。

[City or Locality]：このフィールドを使用して、IMM が物理的に配置されている市や地域を示します。

このフィールドには、大 50 文字を指定できます。

[Organization Name]：このフィールドを使用して、IMM を所有する会社や組織を示します。証明書署

名要求の生成にこのフィールドを使用すると、発行元の認証局は、証明書を要求している組織に所定の

会社または組織名の所有権を主張する法的な資格があるかどうかを確認できます。このフィールドに

は、大 60 文字を指定できます。

[IMM Host Name]：このフィールドを使用して、現在、ブラウザの Web アドレスバーに表示されてい

る IMM ホスト名を示します。

このフィールドに入力した値が、Web ブラウザで認識されているホスト名と正確に一致することを確

認してください。ブラウザは、解決された Web アドレス内のホスト名と、証明書に表示される名前を

照合します。ブラウザから証明書に関する警告が発せられないようにするには、このフィールドに使用

する値が、IMM に接続するためにブラウザで使用されるホスト名と一致する必要があります。たとえ




ば、Web アドレスバー内のアドレスが http://mm11.xyz.com/private/main.ssi である場合、[IMM Host Name] フィールドに使用する値は mm11.xyz.com となります。Web アドレスが http://mm11/private/main.ssi である場合、使用する値は mm11 となります。Web アドレスが http://192.168.70.2/private/main.ssi である場合、使用する値は must be 192.168.70.2 となります。

この証明書属性は一般に、共通名と呼ばれます。


[Contact Person]：このフィールドを使用して、IMM の担当者である連絡先の名前を示します。この

フィールドには、大 60 文字を指定できます。

[Email Address]：このフィールドを使用して、IMM の担当者である連絡先の電子メールアドレスを示

します。このフィールドには、大 60 文字を指定できます。

任意の証明書データ

自己署名証明書または証明書署名要求を生成する場合に、次のユーザ入力フィールドは任意となりま

す。

[Organization Unit]：このフィールドを使用して、IMM を所有する会社や組織内の単位を示します。


[Surname]：このフィールドは、IMM の担当者の名字などの追加情報に使用します。このフィールド

には、大 60 文字を指定できます。

[Given Name]：このフィールドは、IMM の担当者の名前などの追加情報に使用します。このフィール

ドには、大 60 文字を指定できます。

[Initials]：このフィールドは、IMM の担当者のイニシャルなどの追加情報に使用します。このフィー

ルドには、大 20 文字を指定できます。

[DN Qualifier]：このフィールドは、IMM の識別名修飾子などの追加情報に使用します。このフィー

ルドには、大 60 文字を指定できます。

証明書署名要求属性

選択した認証局から要求されない限り、次のフィールドは任意になります。

[Challenge Password]：このフィールドを使用して、証明書署名要求にパスワードを割り当てます。こ

のフィールドには、大 30 文字を指定できます。

[Unstructured Name]：このフィールドは、IMM に割り当てられている非構造化名などの追加情報に使

用します。このフィールドには、大 60 文字を指定できます。

ステップ 5 情報を入力し終えたら、[Generate CSR] をクリックします。新規の暗号キーと証明書が生成されます。

このプロセスには数分かかることがあります。

ステップ 6 [Download CSR] をクリックし、[Save] をクリックしてファイルをワークステーションに保存します。

証明書署名要求の作成時に生成されるファイルは、DER 形式になります。認証局が PEM など、その

他の形式のデータを予期している場合は、OpenSSL（http://www.openssl.org）などのツールを使用し

てファイルを変換できます。認証局が、証明書署名要求ファイルのコンテンツを Web ブラウザウィン

ドウにコピーすることを求める場合は、通常、PEM 形式が予期されます。

OpenSSL を使用して DER から PEM 形式に証明書署名要求を変換するコマンドは、次の例のようにな

ります。

openssl req -in csr.der -inform DER -out csr.pem -outform PEM

ステップ 7 証明書署名要求を認証局に送信します。認証局から署名付きの証明書が返されたら、必要に応じて証明

書を DER 形式に変換します（証明書を電子メールまたは Web ページでテキストとして受信した場合

は、おそらく PEM 形式になっています）。形式は、認証局から提供されるツールを使用するか、

OpenSSL（http://www.openssl.org）などのツールを使用して変更できます。PEM から DER 形式に証

明書を変換するコマンドは、次の例のようになります。




openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER

認証局から署名付き証明書が返されたら、ステップ 8 に進みます。

ステップ 8 ナビゲーションペインで [Security] をクリックします。[SSL Server Certificate Management] 領域まで

スクロールします。

ステップ 9 [Import a Signed Certificate] をクリックします。

ステップ 10 [Browse] をクリックします。

ステップ 11 必要な証明書ファイルをクリックし、[Open] をクリックします。ファイル名（フルパスを含む）は、

[Browse] ボタンの横のフィールドに表示されます。

ステップ 12 [Import Server Certificate] をクリックしてプロセスを開始します。ファイルが IMM 上のストレージに

転送されるときに、進捗状況インジケータが表示されます。転送が完了するまで、このページを表示し

ておきます。

セキュア Web サーバに対する SSL のイネーブル化

（注） SSL をイネーブルにするには、有効な SSM 証明書をインストールする必要があります。

セキュア Web サーバをイネーブルにする手順は、次のとおりです。

ステップ 1 ナビゲーションペインで [Security] をクリックします。表示されるページに、有効な SSL サーバ証明

書がインストールされていることが示されます。SSL サーバ証明書のステータスに、有効な SSL 証明

書がインストールされていることが示されない場合は、「SSL サーバ証明書の管理」（P.3-34）を参照し

てください。

ステップ 2 [SSL Server Configuration for Web Server] 領域までスクロールして、[SSL Client] フィールドで [Enabled] を選択してから、[Save] をクリックします。選択した値は、次に IMM を再起動するときに

有効になります。

SSL クライアント証明書の管理

SSL クライアントは、SSL をイネーブルにする前に、有効な証明書と対応する秘密暗号キーがインス

トールされていることを必要とします。秘密キーと必要な証明書を生成するには、自己署名証明書を使

用する方法、または認証局が署名した証明書を使用する方法があります。

SSL クライアントに対する秘密暗号キーと証明書を生成する手順は、[SSL Server Certificate Management] 領域の代わりに [Security Web] ページの [SSL Client Certificate Management] 領域を使

用する点を除き、SSL サーバに関する手順と同じです。SSL クライアントの自己署名証明書の使用に

ついては、「自己署名証明書の生成」（P.3-35）を参照してください。SSL クライアントの認証局署名証

明書の使用については、「証明書署名要求の生成」（P.3-36）を参照してください。

SSL クライアントの信頼できる証明書の管理

セキュア SSL クライアント（LDAP クライアント）は信頼できる証明書を使用して、LDAP サーバを

明確に識別します。信頼できる証明書は、LDAP サーバの証明書に署名した認証局の証明書か、LDAP サーバの実際の証明書になります。SSL クライアントをイネーブルには、少なくとも 1 つの証明書を IMM にインポートする必要があります。信頼できる証明書は 3 つまでインポートできます。




信頼できる証明書をインポートする手順は、次のとおりです。

ステップ 1 ナビゲーションペインで [Security] を選択します。

ステップ 2 [SSL Client Configuration for LDAP Client] 領域で、SSL クライアントがディセーブルであることを確

認します。ディセーブルでない場合は、[SSL Client] フィールドで [Disabled] を選択してから [Save] をクリックします。

ステップ 3 [SSL Client Trusted Certificate Management] 領域までスクロールします。

ステップ 4 [Trusted CA Certificate 1] フィールドのいずれかの横にある [Import] をクリックします。

ステップ 5 [Browse] をクリックします。

ステップ 6 必要な証明書ファイルを選択して、[Open] をクリックします。ファイル名（フルパスを含む）は、

[Browse] ボタンの横のボックスに表示されます。

ステップ 7 インポートプロセスを開始するには、[Import Certificate] をクリックします。ファイルが IMM 上のス

トレージに転送されるときに、進捗状況インジケータが表示されます。転送が完了するまで、このペー

ジを表示しておきます。

この時点で、[Trusted CA Certificate 1] オプションの [Remove] ボタンが使用可能になります。信頼で

きる証明書を削除する場合は、対応する [Remove] ボタンをクリックします。

[Trusted CA Certificate 2] と [Trusted CA Certificate 3] の [Import] ボタンを使用して、その他の信頼

できる証明書をインポートできます。

LDAP クライアントに対する SSL のイネーブル化

[Security] ページの [SSL Client Configuration for LDAP Client] 領域を使用し、LDAP クライアントに

対して SSL をイネーブルまたはディセーブルにします。SSL をイネーブルにするには、まず、有効な SSL クライアント証明書と、1 つ以上の信頼できる証明書をインストールする必要があります。

クライアントに対して SSL をイネーブルにする手順は、次のとおりです。


[Security] ページに、インストールされた SSL クライアント証明書と [Trusted CA Certificate 1] が表示

されます。

ステップ 2 [SSL Client Configuration for LDAP Client] ページの [SSL Client] フィールドで [Enabled] を選択しま

す。

（注）選択された値（[Enabled] または [Disabled]）はただちに有効になります。

（注） SSL をイネーブルにするには、有効な SSL 証明書が所定の場所になければなりません。

（注） LDAP サーバは、LDAP クライアントが使用する SSL 実装との互換性を保つため、SSL3 または TLS をサポートする必要があります。

ステップ 3 [Save] をクリックします。選択した値は、ただちに有効になります。



セキュアシェルサーバの設定

セキュアシェルサーバの設定セキュアシェル（SSH）機能は、IMM のコマンドラインインターフェイスおよびシリアル（テキストコンソール）リダイレクト機能へのセキュアアクセスを提供します。

セキュアシェルユーザは、ユーザ ID およびパスワードを交換することによって認証されます。パス

ワードとユーザ ID は、暗号化チャネルが確立された後で送信されます。ユーザ ID とパスワードのペ

アは、12 個のローカルに保存されたユーザ ID とパスワードのいずれかか、LDAP サーバに保存された

ものになります。公開キー認証はサポートされていません。

セキュアシェルサーバキーの生成

セキュアシェルサーバキーは、クライアントに対してセキュアシェルサーバのアイデンティティを

認証するために使用します。新規のセキュアシェルサーバ秘密キーを作成するには、セキュアシェル

をディセーブルにする必要があります。セキュアシェルサーバをイネーブルにするには、サーバキー

を作成する必要があります。

新規のサーバキーを要求すると、SSH バージョン 2 クライアントから IMM へのアクセスを可能にす

るために Rivest、Shamir、Adelman キー、および DSA キーの両方が作成されます。セキュリティ上

の理由から、設定の保存および復元操作でセキュアシェルサーバ秘密キーがバックアップされること

はありません。

新規のセキュアシェルサーバキーを作成する手順は、次のとおりです。


ステップ 2 [Secure Shell (SSH) Server] 領域までスクロールして、セキュアシェルサーバがディセーブルかどうか

を確認します。ディセーブルでない場合は、[SSH Server] フィールドで [Disabled] を選択してから [Save] をクリックします。

ステップ 3 [SSH Server Key Management] 領域までスクロールします。

ステップ 4 [Generate SSH Server Private Key] をクリックします。進捗状況ウィンドウが開きます。操作が完了す

るまで待ちます。

セキュアシェルサーバのイネーブル化

[Security] ページから、セキュアシェルサーバをイネーブルまたはディセーブルにすることができま

す。行った選択は、IMM の再起動後にのみ有効になります。画面に表示される値（[Enabled] または [Disabled]）は、後に選択された値であり、IMM が再起動するときに使用される値です。

（注）有効なセキュアシェルサーバ秘密キーがインストールされている場合のみ、セキュアシェルサーバをイネーブルにすることができます。

セキュアシェルサーバをイネーブルにする手順は、次のとおりです。


ステップ 2 [Secure Shell (SSH) Server] 領域までスクロールします。

ステップ 3 [SSH Server] フィールドで [Enabled] をクリックします。



設定ファイルの使用

ステップ 4 ナビゲーションペインで [Restart IMM] をクリックして IMM を再起動します。

セキュアシェルサーバの使用

Red Hat Linux バージョン 7.3 に含まれているセキュアシェルクライアントを使用している場合に、

ネットワークアドレス 192.168.70.132 を使用して IMM へのセキュアシェルセッションを開始するに

は、次の例のようにコマンドを入力します。

ssh -x -l userid 192.168.70.132

ここで、-x は X Window System フォワーディングがないことを示し、-l はセッションでユーザ ID userid を使用する必要があることを示しています。

設定ファイルの使用ナビゲーションペインで [Configuration File] を選択して、IMM の設定をバックアップおよび復元し

ます。

重要：[Security] ページの設定は、バックアップ操作では保存されず、復元操作で復元できません。

現在の設定のバックアップ

IMM Web インターフェイスを実行しているクライアントコンピュータに、現在の IMM の設定のコ

ピーをダウンロードできます。誤って変更されたり、損傷したりした場合は、このバックアップコピーを使用して IMM の設定を復元します。このバックアップコピーをベースとして使用し、複数の IMM を同様の設定にすることができます。

この手順で保存される設定情報には、System x サーバファームウェアの設定や、IPMI 以外のユーザインターフェイスとの共通性がない IPMI 設定は含まれません。

現在の設定をバックアップする手順は、次のとおりです。

ステップ 1 現在の設定をバックアップする IMM にログインします。詳細については、第 2 章「IMM Web イン


ステップ 2 ナビゲーションペインで [Configuration File] をクリックします。

ステップ 3 [Backup IMM Configuration] 領域で、[View the current configuration summary] をクリックします。

ステップ 4 設定を確認してから、[Close] をクリックします。

ステップ 5 この設定をバックアップするには、[Backup] をクリックします。

ステップ 6 バックアップの名前を入力し、ファイルを保存する場所を選択して、[Save] をクリックします。

Mozilla Firefox では、[Save File] をクリックしてから [OK] をクリックします。

Microsoft Internet Explorer では、[Save this file to disk] をクリックしてから [OK] をクリックします。



設定ファイルの使用

IMM の設定の復元と変更

保存された設定をすべて復元することも、保存された設定内の主要フィールドを変更してから IMM に設定を復元することもできます。設定ファイルを変更してから復元することによって、複数の IMM を同様の設定にすることができます。名前や IP アドレスなどの一意の値を必要とするパラメータは、共

通する共有情報を入力することなく、迅速に指定できます。

現在の設定を復元または変更する手順は、次のとおりです。

ステップ 1 設定を復元する IMM にログインします。詳細については、第 2 章「IMM Web インターフェイスの開

始および使用」を参照してください。

ステップ 2 ナビゲーションペインで [Configuration File] をクリックします。

ステップ 3 [Restore IMM Configuration] 領域で、[Browse] をクリックします。

ステップ 4 必要な設定ファイルをクリックし、[Open] をクリックします。ファイル（フルパスを含む）が、

[Browse] の横にあるボックスに表示されます。

ステップ 5 設定ファイルを変更する必要がない場合は、[Restore] をクリックします。IMM 設定情報を示す新規

ウィンドウが開きます。この情報が、復元する設定であることを確認します。設定が適切でない場合

は、[Cancel] をクリックします。

設定ファイルに変更を加えてから設定を復元する場合は、[Modify and Restore] をクリックして編集可

能な設定要約ウィンドウを開きます。初に、変更可能なフィールドだけが表示されます。この表示と

完全な設定要約の表示を切り替えるには、ウィンドウの上部または下部にある [Toggle View] ボタンを

クリックします。フィールドの内容を変更するには、対応するテキストボックスをクリックしてデー

タを入力します。

（注） [Restore] または [Modify and Restore] をクリックしたときに、復元しようとしている設定ファ

イルが、タイプの異なるサービスプロセッサで作成されたものであるか、同じタイプでも搭載

されているファームウェアが古い（そのため、機能が低い）サービスプロセッサで作成された

ものであると、アラートウィンドウが開く場合があります。このアラートメッセージには、復

元の完了後に設定する必要のあるシステム管理機能のリストが含まれます。機能によっては、

複数のウィンドウでの設定が必要です。

ステップ 6 このファイルを引き続き IMM に復元するには、[Restore Configuration] をクリックします。IMM 上の

ファームウェアが更新されるときに、進捗状況インジケータが表示されます。更新が成功したかどうか

を確認するための確認ウィンドウが開きます。

（注） [Security] ページでのセキュリティ設定は、復元操作では復元されません。セキュリティ設定

を変更するには、「セキュア Web サーバおよびセキュア LDAP」（P.3-33）を参照してくださ

い。

ステップ 7 復元プロセスが完了したことを示す確認を受信したら、ナビゲーションペインの [Restart IMM] をク

リックし、[Restart] をクリックします。

ステップ 8 [OK] をクリックして、IMM を再起動することを確認します。

ステップ 9 [OK] をクリックして、現在のブラウザウィンドウを閉じます。

ステップ 10 再び IMM にログインするには、ブラウザを起動し、通常のログインプロセスを行います。



デフォルトの復元

デフォルトの復元スーパーバイザアクセス権がある場合は、[Restore Defaults] リンクを使用して、IMM のデフォルト

設定を復元します。

注意：[Restore Defaults] をクリックすると、IMM に対して行ったすべての変更が失われます。

IMM のデフォルトを復元する手順は、次のとおりです。

ステップ 1 IMM にログインします。詳細については、第 2 章「IMM Web インターフェイスの開始および使用」

を参照してください。

ステップ 2 ナビゲーションペインで、[Restore Defaults] をクリックして IMM のデフォルト設定を復元します。

これがローカルサーバの場合、TCP/IP 接続は失われ、接続を復元するためにネットワークインター

フェイスを再設定しなければなりません。

ステップ 3 IMM Web インターフェイスを使用するには、再びログインします。

ステップ 4 接続が復元されるように、ネットワークインターフェイスを再設定します。ネットワークインター

フェイスの詳細については、「ネットワークインターフェイスの設定」（P.3-20）を参照してください。

IMM の復元

[Restart IMM] リンクを使用して、IMM を再起動します。この機能は、スーパーバイザアクセス権が

ある場合のみ実行できます。イーサネット接続は一時的にドロップされます。IMM Web インターフェ

イスを使用するには、再びログインする必要があります。IMM を再起動する手順は、次のとおりです。

ステップ 1 IMM にログインします。詳細については、第 2 章「IMM Web インターフェイスの開始および使用」

を参照してください。

ステップ 2 ナビゲーションペインで [Restart IMM] をクリックして IMM を再起動します。TCP/IP またはモデム

接続が失われます。

ステップ 3 IMM Web インターフェイスを使用するには、再びログインします。

ログオフIMM または別のリモートサーバからログオフするには、ナビゲーションペインで [Log Off] をクリッ

クします。


imm の設定 - cisco3-5 統合管理モジュール ユーザ ガイド 第 3 章 imm の設定...

Documents

imm の設定 - cisco3-5 統合管理モジュールユーザガイド第 3 章 imm の設定...